Configuration de l'authentification RADIUS Windows 2008 R2
Resolution
Afin d'authentifier le pare-feu de Palo Alto Networks et les administrateurs de panorama avec le serveur RADIUS (Win2K8 R2), vous devez d'abord prendre des mesures sur le pare-feu.
D'Abord, nous allons travailler sur le pare-feu.
- Créez un profil d'Authentification pour le serveur RADIUS.
- Profil du serveur –
RADIUS REPL est le profil serveur configuré avec le serveur 10.66.22.193 comme serveur.
Configurer le Profil d'Authentification –
Dans la figure ci-dessus, le rayon de test est le profil d'Authentification avec RADIUS REPL assigné comme profil de serveur.
- Configurez les paramètres d'Authentification de gestion pour utiliser le profil d'Authentification RADIUS.
- Profil de gestion –
- Si le pare-feu n'utilise pas l'interface de gestion pour contacter le serveur, remplacez l'itinéraire de service par l'interface qui se connecte au serveur.
Sur le panorama –
- Créez un profil d'Authentification pour le serveur RADIUS.
- Profil du serveur –
RADIUS REPL est le profil serveur configuré avec le serveur 10.66.22.193 comme serveur.
- Profil d'Authentification –
Dans la figure ci-dessus testRadius est le profil d'Authentification avec RADIUS REPL assigné comme profil de serveur.
- Configurez les paramètres d'Authentification de gestion pour utiliser le profil d'Authentification RADIUS.
- Profil de gestion –
Configurer un rôle admin sur le panorama. Créez autant de rôles Admin que le nombre d'administrateurs.
Sur le serveur RADIUS (la configuration ci-dessous est valide pour le pare-feu et le panorama) –
- Créez un nouveau client RADIUS sur le serveur de stratégie réseau.
L'adresse IP doit être l'adresse IP de l'interface du pare-feu qui se connecte au serveur RADIUS. C'est l'adresse IP de gestion pour panorama. - Créer une stratégie réseau. L'ordre de la stratégie de réseau est important, alors assurez-vous que l'une fois avec la priorité supérieure sont répertoriés sur le dessus.
- Dans les stratégies, créez une «stratégie réseau» pour le périphérique panorama avec les éléments suivants.
Type de serveur d'accès réseau – non spécifié. - Condition suivante – adresse IPv4 du client – l'adresse IP de l'interface qui se connecte au serveur RADIUS (adresse IP de gestion pour Panorama)
- NextConstraints – CHAP ou PAP pour PAN OS 7.0. x et ci-dessous et PAP pour 6.1. x et ci-dessous.
- Ensuite, configurez les paramètres. > Fournisseur spécifique. Attributs > Ajouter > Ajouter des attributs spécifiques au fournisseur > spécifique du fournisseur > informations sur les attributs > ajouter
- Modifier les informations D'Attribut spécifiques au fournisseur
- Code du vendeur – 25461
- Oui, ça confirme.
Configurer les attributs
- Numéro d'Attribut – 1 ou 2 (Firewall) et 3 ou 4 (Panorama)
- Format d'Attribut – chaîne
- Valeur d'Attribut-superutilisateur
- Bien
Terminer
- Créez autant d'utilisateurs que le nombre d'administrateurs dans les utilisateurs et les ordinateurs Active Directory avec toutes les autorisations. (Pour Panorama, l'utilisateur doit être le même que le rôle admin créé sur le panorama).
- Start-> tous les programmes-> outils d'Administration-> utilisateurs et ordinateurs Active Directory
- Clic droit sur les utilisateurs-> ajouter un nouvel utilisateur
Next->
- Assurez-vous que le "mot de passe n'expire jamais" est coché.
Suivant > Finish.
- L'utilisateur doit pouvoir se connecter au pare-feu avec le compte d'utilisateur créé sur le serveur RADIUS.
- L'utilisateur doit toujours pouvoir se connecter à la fois au pare-feu et au panorama avec le domaine spécifié sur le profil d'Authentification du pare-feu et du périphérique panorama.